Execução: escape de contêiner

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Um binário de ferramenta suspeita conhecida para atividades de escape de contêiner foi executado. Isso indica uma possível tentativa de fuga do contêiner, em que um processo dentro do contêiner tenta sair do isolamento e interagir com o sistema host ou outros contêineres. Essa é uma descoberta de alta gravidade, porque sugere que um invasor pode estar tentando acessar além dos limites do contêiner, comprometendo potencialmente o host ou outra infraestrutura. Os escapes de contêineres podem resultar de configurações incorretas, vulnerabilidades em runtimes de contêineres ou exploração de contêineres privilegiados.

Serviço de detecção

Detecção de ameaças do Cloud Run

Como responder

Para responder a essa descoberta, faça o seguinte:

Analisar os detalhes da descoberta

1. Abra a descoberta Execution: Container Escape, conforme direcionado em Como verificar descobertas. Analise os detalhes nas guias Resumo e JSON.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • Binário do programa: o caminho absoluto do binário executado.
     • Argumentos: os argumentos transmitidos durante a execução binária.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso do recurso afetado do Cloud Run

3. Na guia JSON, observe os seguintes campos:

   • resource:
     • project_display_name: o nome do projeto que contém o cluster.
   • finding:
     • processes:
     • binary:
       • path: o caminho completo do binário executado.
     • args: os argumentos fornecidos ao executar o binário.

4. Identifique outras descobertas que ocorreram em um momento semelhante para o contêiner afetado. As descobertas relacionadas podem indicar que essa atividade foi maliciosa, em vez de uma falha em seguir as práticas recomendadas.

5. Revise as configurações do contêiner afetado.

6. Verifique os registros do contêiner afetado.

Pesquisar métodos de ataque e resposta

1. Revise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Escape to Host.
2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do Cloud Run.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.